WORKSHOP 


Extra beveiliging dankzij ThreatFire 


Pak de beestjes! 


Zodra je online gaat, krijg je met allerlei bedreigingen af te rekenen. 
Natuurlijk heb je al een firewall, een antivirusprogramma en een an- 
tispywaretool draaien, maar het gratis ThreatFire metst daar nog een 
extra beveiligingswal bovenop. Warm aanbevolen! # ceoric meskens 


r \ 
WAT DOEN WE? 


E WAARMEE? 


HOELANG? 


MOEILIJKHEID? 


aad 


lassieke antivirustools raadplegen een data- 

bank met ‘handtekeningen’ (signatures), om uit 
te vissen of een bepaald bestand geïnfecteerd is met 
een virus. ThreatFire daarentegen analyseert allerlei 
gedragingen binnen je systeem en trekt aan de alarm- 
bel, zodra iets verdachts wordt opgemerkt. Deze 
aanpak stelt de tool in staat ook onbekende bedrei- 
gingen tegen te gaan. Precies daarom is ThreatFire 
een prima aanvulling op je al bestaande beveiliging. 
Bovendien laat het programma zich erg eenvoudig 
bedienen, vereist het geen complexe configuratie en 
snoept het weinig systeembronnen af. De tool draait 
onder Windows 2000, XP, 2003 en Vista, en voor niet- 
commercieel gebruik is het helemaal gratis. 


STAP 1 / INSTALLEREN 


Je vindt TheatFire op de Clickx-cd. Je treft hier ook een Pro-versie aan, 
maar thuisgebruikers kunnen perfect weg met de gratis basisversie. De 
installatie heeft weinig om het lijf: een viertal keren op Next drukken 
en afronden met InstauL en met Finisn. Meteen erna start ThreatFire op 
en krijg je het programmavenster te zien. Je doet er echter beter aan 
je pc eerst even te herstarten. Als alles goed gaat, merk je nu in het 
systeemvak van de Windows-taakbalk een nieuw icoontje op. Met een 
dubbelklik open je opnieuw het programmavenster. Druk op de knop 
Security Status: je leest af of de beveiliging actief is. Zoniet, dan druk je 
op de grote knop Spyware & Virus Protection is OFF. In ditzelfde venster 
krijg je ook een lijst van wereldwijde bedreigingen, inclusief de geogra- 
fische verspreiding. Leuk, maar nog informatiever vinden we het tabblad 
Protection Statistics: hier verneem je onder meer hoeveel gedragingen en 
programma’s ThreatFire op je pc heeft geanalyseerd en hoeveel ondin- 
gen het gedetecteerd meent te hebben (van de laatste go dagen tot 
vandaag). 


STAP 2 / CONFIGUREREN 


Om de weinige opties naar je hand te zetten, druk je op de knop Setrinas. 
Op het tabblad GeneraL laat je bij voorkeur alle standaardinstellingen 
ongewijzigd. We adviseren je ook het beveiligingsniveau (Protection Lever) 
op 3 te laten staan. Bij een te lage of te hoge waarde dreig je respectie- 
velijk te veel valse negatieven of valse positieven op je neus te krijgen. 
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(MOENGA... WORM IN PC !! 
(NERBRANDEN MET THREATFIZE 2/2) 


é 


Zowat hetzelfde verhaal geldt voor de Deraur Actions, waar je vastlegt hoe 
ThreatFire moet reageren als het programma op (potentiële) malware 
botst (zie afbeelding 2). Laat bij voorkeur de standaardacties ongemoeid. 
Op het tabblad Quarantine kan je gerust een vinkje plaatsen bij Ser System 
Restore Point. Het tabblad Schepurep Scan ten slotte laat je toe een scan- 
ronde in te plannen (zie ook stap 4). Hou er wel rekening mee dat een 
volledige scan (FuuL Scan, Bor) een paar uur in beslag kan nemen. Beves- 
tig je wijzigingen met OK. 


PC Tools an 


ThreatFire 


Configure Settings 


® smart Update ® Help 


[ General Quarantine Scheduled Scan | 
Security Status = E A 
——— G Threatfire Protection On Default Actions en 
Start Scan © Protection Level When a suspected threat is detected. 
|PromptMe 
@) Default Actions Ld 
Threat Control When a potentially unwanted program is 
Gj Check for Updates On detected. 
Bchamced ed 3 @ Community Protection On ‚PromptMe 
Program Language Ren a known malicious threat is detected: 
\setungs | n ‚Quarantine and Alert Me 
@ notices 
Upgrade Now WARNING! Please use extreme caution when 
changing the default actions. Ifyou electto 
automatically allow all suspected or known 
threats your overall protection will be greatly 
reduced. Likewise, ifyou automatically 
quarantine all suspected threats there is a 
possibility that legitimate programs may be 
| affected (false positives). 
@roois Software _ 
® Free Edition, Upgrade Now 


De standaardinstellingen voldoen prima! 
STAP 3 / REAGEREN 


ThreatFire maakt dus onderscheid tussen verschillende types bedreigin- 
gen. Bij herkende malware duikt er een rood venster op en kan je stan- 
daard alleen op Proceeo drukken (zie afbeelding 3). Een mogelijk kwaad- 
aardig proces genereert een geel venster: je verneemt dan ook welk 
bestand voor dit proces verantwoordelijk is, om welk type bedreiging het 
gaat en wat het eventuele risico is. In dit 
geval heb je twee opties: ofwel laat je het 


PC Tools 
Threatfire 


Threatfire has just prevented a trojan from infecting your 


proces ongemoeid (AtLow THIS PROCESS TO CONTI-_ | syste. 
Nue), ofwel beëindig je het proces en plaatsje |“ 

het in quarantaine (Kru AND QUARANTINE THIS 
PROCESS). Je kan ook nog een vinkje plaatsen 


bij REMEMBER THIS ANSWER, zodat je bij een iden- 
tiek alarm niet langer hoeft te reageren. Bij 
ernstige twijfel krijg je een grijs alarmvenster 


Rood alarm! Meteen in qua 
taine… 


ran- 


te zien, waarbij je dezelfde opties krijgt als bij een ‘geel alarm’. Wie op 
een veilige manier enkele alarmen wil testen: met de tooltjes op www] 


sn den „misec.net/trojansimulatoif lukt dat wel. 


STAP 4 / SCANNEN 


ThreatFire ligt constant op de loer, maar je kan op elk moment ook 
zelf een scan initiëren. Ofwel plan je zo’n scanronde in (zie stap 2), 
ofwel druk je in het programmavenster op de knop Start Scan, waarna 
je aangeeft hoe grondig je wil laten scannen. Het meest intensieve 
speurwerk verkrijg je met de opties FurL Scan, SCAN FoR ROOTKITS & ScAN 
FOR THREATS. Met de Pause-knop onderbreek je een scanronde. Na afloop 
verschijnen dan de gedetecteerde bedreigingen in een venster, inclu- 
sief de locatie op je schijf en een inschatting van het risico. Je hoeft 
de items dan maar van een vinkje te voorzien, waarna je de geselec- 
teerde exemplaren hetzij in quarantaine plaatst, hetzij markeert als 
onschuldige bestanden die ThreatFire voortaan ongemoeid mag laten 
(ExcLupe SeLecten FROM Future Scans) (zie afbeelding 4). 


PC Tools 


ThreatFire 


Scan for threats 


® smart Update ®@ Heip 


Completed: 13/05/2008 18:34:00 


System Full Scan 
Quarantine Complete 


Threat Location Status Risk 
Threat Control | w| sequence - Packed/Upack H:wispa-0.1.2-bin zip/Nispa.exe Detected Low 
EE w] sequence - Packed/Upack Detected Low 
Advanced Tools | [w] virus -EICAR test file Excludedf.. High 
ed v] virus - EICAR te Excludedf.. High 
\ [w] mutant - Trojan.BAT DeltreeY. C:TEMP\Test-Run v 2.1.2\Contr. Quarantin High 
Settings | 
, 
Upgrade Now Í < > 


Quarantine Selected 


Exdude Selected, úi Future Scans 


Files Scanned: 0 


Druk maar even de knop Turear Contro in: via de tabbladen AtLoweo 
(altijd toelaten), Dentep (altijd tegenhouden) en QuarantineD (in quaran- 
taine geplaatst) kan je deze vergissingen nog rechtzetten. Het volstaat 
het bewuste item te selecteren en hetzij Remove aan te klikken bij Ar- 
Lowep of Deniep, hetzij Restore Setecren (hef de quarantaine op) of Perma- 
NENTLY Derere (voorgoed verwijderen) te kiezen bij Quarantine (zie af- 
beelding 5). Op het tabblad Protection Loa ten slotte kan je terecht voor 
een chronologisch overzicht van zowat alles wat ThreatFire op je sys- 
teem heeft uitgevoerd. 


STAP 6 / ANALYSEREN 


Deze en de volgende stap zijn voor de iets gevorderde gebruiker; je 
moet in beide gevallen langs de knop Apvancep Toorts. Open het tabblad 
System Activity Monro. Wat je hier ziet, doet wat denken aan de infor- 
matie die je via de Windows-tools Msconfig en Taakbeheer 
(Crru+Snirr+Esc) aan de weet komt. In het linkerpaneel duid je aan 
welke items je wil uitvouwen: ApPLICATIONS, OTHER, AuroRuns, System en/of 
Services. Wil je meer details, klik dan op het bewuste item: in het rech- 
terpaneel verschijnen nu allerlei nuttige gegevens. Nog niet tevreden? 
Klik met de rechtermuisknop op het item en kies GET INFORMATION ON <>. 
Heb je dit proces liever niet in het geheugen, selecteer dan Kir <> 
en bevestig met Ja (zie afbeelding 6). Hou er rekening mee dat het bij 
een volgende sessie wel opnieuw tot leven kan komen. 


PC Tools 


ThreatFire 


® smart Update © neip 


Advanced Tools 


Advanced Rule Settings | System Activity Monitor 
Security Status - Applications £ TFGuiexe Kad 
exmlorer.exe . Path: C:\Program Files\ThreatFire = 
Start Scan Nn 3 
Ee \__Process Data [ 
jEile Desaription | _ Get information on TFGui.exe | 
| _|-otner 


Threat Control 


Registry Keys Scanned: 0 


roots Software 
® Free Edition, Upgrade Now 


Is een bestand koosjer of niet? 


STAP 5 / BEHEREN 


Het kan natuurlijk gebeuren dat je iets te snel was en een foutieve 
inschatting hebt gemaakt: je hebt malware toegelaten of onschuldige 
bestanden in quarantaine geplaatst. Dan is er nog geen man overboord. 


En 


PC Tools _ X 


ThreatFire 


Threat Control Center 


© neip 


® smart Update 


Allowed Denied Quarantined | Protection Log 
Security Status Malware that has been quarantined may be managed here. Restore or Permanentiy Delete an 
item by selecting it in the list and clicking the appropriate link below. Any threats listed will also 
display an information button on the right that you may click for additional details. 
Start Scan 
el =| v] Threat activity: File hidden 
Threat name: known as mutant - Trojan.BAT DeltreeY AH 
Quarantined on 12/05/2008 at 18:24:00 
‘Advanced Tools Threat activity: IE Search Page altered 
En En Threat name: Spyware known as not-virus:Hoax Win22.Spycar a,Spyware Dropper'sd5 
Quarantined on 13/05/2008 at 17:30:14 
Settings 
RE Threat activity: Run registry entry added 
Threat name: Trojan known as TrojSimul, TROJ_SIMULATOR.A 
Upgrade Now Qusrantined on 12/05/2008 at 17:18:28 
Threat activity: Run registry entry added 
Threat name: Spyware known as us:Hoax Win32.Spycar-a,Spyware.Dropper!sd5 
Quarantined on 12/05/2008 at 1 
CJ Select All Restore Selected 
@roois Software 
® Free Edition, Upgrade Now 


Deze bedreiging heb ik liever niet op mijn schijf! 


Wacrorasz.exe - en | 
Laavanced Tools | Adobe Reader 8.1 File Description: File Description 
Gram.exe 


File Company: PC Tools 
Free Download Manager Command Line: “C:\Program Files\ThreatFire\TF Gui.exe” 


Settings (iexplore.exe Properties 
nn ri ee Program is made by a trusted vendor 
msimn.exe En en = 
Upgrade Now peazip.exe Program Windows 
mmm Snagit32.exe ThreatFire 
Snagit 8 Network Actions 
[rschelp.exe Network Connection: IP 195.130.131.253 port 80 


vereni STE Nele | Network Connection: IP 131.107.115.28 port 30 
WINWORD.EXE | Network Connection: IP 207.46.19.190 port 30 
[wLtoginProxy.exe sp) network Connection: IP 207.45.19.254 port 80 v 


< are u - 
roes Software 
| @® Free Edition, Upgrade Now 


Wat roert daar onder de motorkap? 


STAP 7 / DEFINIËREN 


Je kan tot op zekere hoogte ook eigen filterregels definiëren in Threat- 
Fire. Zo kan je ervoor zorgen dat de toegang tot gevaarlijke sites au- 
tomatisch geblokkeerd wordt of dat bepaalde software niet langer 
toegankelijk is. Druk hiervoor opnieuw op de knop Apvanceo Toos en 
open het tabblad Apvanceo Rure Serrinas. Druk op de knop Custom Rue 
Setrines en open het tabblad Custom Rures. Selecteer bij wijze van voor- 
beeld Fire with suspicrous “DOUBLE EXTENSION” CREATED — een regel die moet 
voorkomen dat een proces bijvoorbeeld heimelijk een bestand als mal- 
ware.txt.exe creëert: Windows toont namelijk vaak alleen de eerste 
extensie, en met een dubbelklik start je dan ongewild een gevaarlijk 
programma op. Druk vervolgens op de knop Mopiry en druk enkele 
keren op Vorgenpe: je kan nu perfect afleiden hoe deze regel is opge- 
bouwd. Op gelijkaardige wijze kan je eigen regels construeren — wel 
moet je dan eerst de knop New indrukken. « 
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